各国网络安全能力成熟度模型 (CMM) 修订版-研究论文

全球网络安全能力中心（Capacity Centre）的目标是通过更全面和细致地了解网络安全能力格局，提高英国和国际网络安全能力建设的规模和有效性。 我们的目标是确保能力中心收集和产生的知识和研究能够以系统和实质性的方式帮助各国提高其网络安全能力。 通过帮助了解国家网络安全能力，能力中心希望帮助促进创新网络空间，以支持所有人的福祉、人权和繁荣。 为实现这一目标，能力中心于 2014 年开发了其原型国家网络安全能力成熟度模型，并于 2015 年在 11 次国家网络安全能力审查以及拉丁美洲和加勒比地区（由美洲国家组织与美洲开发银行合作）。 审查是与多个国际组织和主要部委一起进行的，并召集了社会各界的利益相关者，以全面了解国家网络安全能力的成熟度。 在审查期间，能力中心能够衡量模型的内容是否与网络安全能力格局一致，并通过吸取的经验教训确定增强模型的整体内容、结构和部署的方法。 因此，能力中心开发了该模型的修订版，称为国家网络安全能力成熟度模型 (CMM)，基于通过该模型部署获得的经验教训。 能力中心根据经验教训向来自不同学科的网络安全专家小组提出了一系列修改建议。 这些专家磋商会确认了几项提议的修正，并提出了额外的意见供在 CMM 的修订中考虑。 一旦修改后的内容由领导各自网络安全能力维度发展的资深学者策划，CMM 的修订版就产生了。 CMM 修订版中所做的大部分更改都是结构性的，而不是实质性的。 某些因素和方面进行了组合或重新配置，以提高模型整体的清晰度和精度，同时确保内容的连续性。 例如，在维度 3 中，一些评论参与者对因素之间的差异表示混淆，导致对该维度进行了重新配置，以便更清楚地传达每个因素的意图。 为确保更准确地反映网络安全能力维度的本质，还对某些维度进行了增补等修改。 特别是在维度 5 中，增加了几个新的因素，使维度的重点转向技术标准、控制和产品，而不是现有的模糊范围。 最后，根据各个国家审查的反馈直接结果，添加了一些因素，例如在维度 2 中添加了关于媒体作用的因素，在维度 4 中添加了关于国际合作的因素。 CMM 不是静态练习。 随着能力中心继续在世界范围内部署该模型（到 2020 年，它已在 80 多个国家/地区部署），将吸取新的经验教训，可用于进一步增强 CMM。 我们的目标是确保 CMM 仍然适用于所有国家环境，并反映网络安全能力成熟度的全球状态。